Azure Disk Encryption für Windows (Microsoft.Azure.Security.AzureDiskEncryption)Azure Disk Encryption for Windows (Microsoft.Azure.Security.AzureDiskEncryption)
ÜbersichtOverview
Azure Disk Encryption nutzt BitLocker, um auf virtuellen Azure-Computern unter Windows eine vollständige Datenträgerverschlüsselung bereitzustellen.Azure Disk Encryption leverages BitLocker to provide full disk encryption on Azure virtual machines running Windows. Diese Lösung ist in Azure Key Vault integriert, um die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement zu verwalten.This solution is integrated with Azure Key Vault to manage disk encryption keys and secrets in your key vault subscription.
VoraussetzungenPrerequisites
Eine vollständige Liste mit den Voraussetzungen finden Sie unter Azure Disk Encryption für virtuelle Windows-Computer. Achten Sie besonders auf die folgenden Abschnitte:For a full list of prerequisites, see Azure Disk Encryption for Windows VMs, specifically the following sections:
- Unterstützte VMs und BetriebssystemeSupported VMs and operating systems
- NetzwerkanforderungenNetworking requirements
- GruppenrichtlinienanforderungenGroup Policy requirements
ErweiterungsschemaExtension Schema
Es gibt zwei Versionen des Erweiterungsschemas für Azure Disk Encryption (ADE):There are two versions of extension schema for Azure Disk Encryption (ADE):
- v2.2: Ein neueres empfohlenes Schema, das keine AAD-Eigenschaften (Azure Active Directory) verwendet.v2.2 - A newer recommended schema that does not use Azure Active Directory (AAD) properties.
- v1.1: Ein älteres Schema, für das AAD-Eigenschaften (Azure Active Directory) erforderlich sind.v1.1 - An older schema that requires Azure Active Directory (AAD) properties.
Zum Auswählen eines Zielschemas muss die Eigenschaft typeHandlerVersion auf die gewünschte Schemaversion festgelegt werden.To select a target schema, the typeHandlerVersion property must be set equal to version of schema you want to use.
Schema v2.2: Kein AAD (empfohlen)Schema v2.2: No AAD (recommended)
Das v2.2-Schema wird für alle neuen virtuellen Computer empfohlen und erfordert keine Azure Active Directory-Eigenschaften.The v2.2 schema is recommended for all new VMs and does not require Azure Active Directory properties.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schema v1.1: mit AADSchema v1.1: with AAD
Das 1.1-Schema erfordert aadClientID und entweder aadClientSecret oder AADClientCertificate und wird für neue virtuelle Computer nicht empfohlen.The 1.1 schema requires aadClientID and either aadClientSecret or AADClientCertificate and is not recommended for new VMs.
Verwenden von aadClientSecret:Using aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Verwenden von AADClientCertificate:Using AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
EigenschaftswerteProperty values
| NameName | Wert/BeispielValue / Example | DatentypData Type |
|---|---|---|
| apiVersionapiVersion | 01.07.20192019-07-01 | datedate |
| publisherpublisher | Microsoft.Azure.SecurityMicrosoft.Azure.Security | Zeichenfolgestring |
| typetype | AzureDiskEncryptionAzureDiskEncryption | Zeichenfolgestring |
| typeHandlerVersiontypeHandlerVersion | 2.2, 1.12.2, 1.1 | Zeichenfolgestring |
| (1.1-Schema) AADClientID(1.1 schema) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guidguid |
| (1.1-Schema) AADClientSecret(1.1 schema) AADClientSecret | passwordpassword | Zeichenfolgestring |
| (1.1-Schema) AADClientCertificate(1.1 schema) AADClientCertificate | thumbprintthumbprint | Zeichenfolgestring |
| EncryptionOperationEncryptionOperation | EnableEncryptionEnableEncryption | Zeichenfolgestring |
| (optional – Standard-RSA-OAEP) KeyEncryptionAlgorithm(optional - default RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5''RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | Zeichenfolgestring |
| KeyVaultURLKeyVaultURL | urlurl | Zeichenfolgestring |
| KeyVaultResourceIdKeyVaultResourceId | urlurl | Zeichenfolgestring |
| (optional) KeyEncryptionKeyURL(optional) KeyEncryptionKeyURL | urlurl | Zeichenfolgestring |
| (optional) KekVaultResourceId(optional) KekVaultResourceId | urlurl | Zeichenfolgestring |
| (optional) SequenceVersion(optional) SequenceVersion | uniqueidentifieruniqueidentifier | Zeichenfolgestring |
| VolumeTypeVolumeType | Betriebssystem, Daten, alleOS, Data, All | Zeichenfolgestring |
Bereitstellung von VorlagenTemplate deployment
Ein Beispiel für eine auf der Schemaversion 2.2 basierende Vorlagenbereitstellung finden Sie in der Azure-Schnellstartvorlage 201-encrypt-running-windows-vm-without-aad.For an example of template deployment based on schema v2.2, see Azure QuickStart Template 201-encrypt-running-windows-vm-without-aad.
Ein Beispiel für eine auf der Schemaversion 1.1 basierende Vorlagenbereitstellung finden Sie in der Azure-Schnellstartvorlage 201-encrypt-running-windows-vm.For an example of template deployment based on schema v1.1, see Azure QuickStart Template 201-encrypt-running-windows-vm.
Hinweis
Wenn der Parameter VolumeType auf „All“ festgelegt ist, werden Datenträger nur dann verschlüsselt, wenn sie ordnungsgemäß formatiert sind.Also if VolumeType parameter is set to All, data disks will be encrypted only if they are properly formatted.
Problembehandlung und SupportTroubleshoot and support
ProblembehandlungTroubleshoot
Informationen zur Problembehandlung finden Sie unter Leitfaden zur Azure Disk Encryption-Problembehandlung.For troubleshooting, refer to the Azure Disk Encryption troubleshooting guide.
SupportSupport
Sollten Sie beim Lesen dieses Artikels feststellen, dass Sie weitere Hilfe benötigen, können Sie sich über das MSDN Azure-Forum oder über das Stack Overflow-Forum mit Azure-Experten in Verbindung setzen.If you need more help at any point in this article, you can contact the Azure experts on the MSDN Azure and Stack Overflow forums.
Alternativ dazu haben Sie die Möglichkeit, einen Azure-Supportfall zu erstellen.Alternatively, you can file an Azure support incident. Navigieren Sie zum Azure-Support, und wählen Sie „Support erhalten“ aus.Go to Azure support and select Get support. Informationen zur Nutzung von Azure-Support finden Sie unter Microsoft Azure-Support-FAQ.For information about using Azure Support, read the Microsoft Azure Support FAQ.
Nächste SchritteNext steps
- Weitere Informationen zu Erweiterungen finden Sie unter Erweiterungen und Features für virtuelle Computer für Windows.For more information about extensions, see Virtual machine extensions and features for Windows.
- Weitere Informationen zu Azure Disk Encryption für Windows finden Sie unter Virtuelle Windows-Computer.For more information about Azure Disk Encryption for Windows, see Windows virtual machines.